JR/T 0213-2021《金融网络安全 Web应用服务安全测试通用规范》

JR/T 0213-2021《金融网络安全 Web应用服务安全测试通用规范》基本信息

标准号：JR/T 0213-2021

中文名称：《金融网络安全 Web应用服务安全测试通用规范》

发布日期：2021-02-10    

实施日期：2021-02-10

发布部门：中国人民银行    

提出单位：中国人民银行    

归口单位：全国金融标准化技术委员会（SAC/TC 180）    

起草单位：中国人民银行科技司、公安部第一研究所、中国金融电子化公司、北京长亭未来科技有限公司、中国银联股份有限公司、农信银资金清算中心有限责任公司等

起草人：李伟、陈立吾、沈筱彦、车珍、昝新、夏磊、王涛、胡光俊、唐辉、马男、王陶然、尹振玺、曹岳、张耀峰、李海威、侯漫丽等    

中国标准分类号：A11金融、保险

国际标准分类号：35.240.40信息技术在银行中的应用

JR/T 0213-2021《金融网络安全 Web应用服务安全测试通用规范》介绍

中国人民银行发布了JR/T 0213-2021《金融网络安全 Web应用服务安全测试通用规范》（以下简称“本标准”）。本标准自2021年2月10日起正式实施。

一、标准适用范围

本标准适用于金融行业Web应用服务的安全测试，包括但不限于银行、证券、保险、基金、支付、互联网金融等金融机构。本标准也适用于金融行业相关监管部门、安全测试机构、第三方安全服务提供商等。

二、标准主要内容

1、安全测试目标

本标准明确了金融网络安全Web应用服务安全测试的目标，即通过安全测试发现Web应用服务中存在的安全漏洞、配置缺陷、安全风险等问题，为金融机构提供安全防护措施和建议。

2、安全测试原则

本标准提出了金融网络安全Web应用服务安全测试应遵循的原则，包括合法性、全面性、客观性、系统性、可追溯性和有效性。

3、安全测试分类

本标准将安全测试分为黑盒测试、白盒测试和灰盒测试三种类型。黑盒测试主要关注Web应用服务的输入输出行为，白盒测试主要关注源代码和设计文档，灰盒测试则结合了黑盒测试和白盒测试的特点。

4、安全测试方法

本标准提出了金融网络安全Web应用服务安全测试的方法，包括静态测试、动态测试、渗透测试、配置核查、代码审计等。

5、安全测试流程

本标准规定了金融网络安全Web应用服务安全测试的流程，包括测试准备、测试实施、测试报告、测试结果处理和测试总结等环节。

6、安全测试要求

本标准对金融网络安全Web应用服务安全测试提出了具体要求，包括测试环境、测试工具、测试人员、测试时间、测试范围、测试频次等。

7、安全测试风险管理

本标准提出了金融网络安全Web应用服务安全测试的风险管理措施，包括风险识别、风险评估、风险控制和风险监控等。

三、标准实施意义

1、提高金融网络安全防护能力

本标准的实施有助于金融机构发现和解决Web应用服务中存在的安全问题，提高金融网络安全防护能力，保障金融行业的稳定运行。

2、规范金融网络安全管理

本标准的实施有助于规范金融网络安全管理，提高金融机构的安全意识和管理水平，促进金融行业的健康发展。

3、保护用户利益

本标准的实施有助于保护金融用户的个人信息和财产安全，提高用户对金融机构的信任度，促进金融行业的可持续发展。

4、促进金融科技的发展

本标准的实施有助于金融科技的创新和发展，为金融行业提供更加安全、高效、便捷的服务，推动金融行业的数字化转型。

JR/T 0213-2021《金融网络安全 Web应用服务安全测试通用规范》的发布和实施，对于提高金融网络安全防护能力、规范金融网络安全管理、保护用户利益、促进金融科技的发展具有重要意义。金融机构应认真贯彻落实本标准，加强网络安全管理，提高网络安全防护能力。